Ich vermute mal, dass fast jede 2. Webseite die sogenannten Custom Post Type bei WordPress verwendet. Damit kann man nämlich sehr einfach zusätzliche Felder anlegen. Zum Beispiel bei E-Commerce Projekte schreibe ich dort hinein gerne die Lieferzeiten und kann sie dann sehr einfach, wo auch immer ich es will, wieder anzeigen lassen. Eine sehr praktische Erfindung und eigentlich auch sehr einfach einzubauen.

Natürlich können nicht alle Leute so ein Code einbauen und auch verstehen, darum gibt es gerne Plugins die solche Aktionen übernehmen. Aber wie ihr wisst, ist jedes fremde Plugin eine Sicherheitslücke, vor allem wenn sie von jemandem unbekannten Programmiert wurde.

Der Custom Content Type Mangager, ist eines dieser Plugins für Custom Post Type und mit knapp 10’000 installierten Plugins nicht gerade das Unbekannteste. Jetzt hat aber eine Firma herausgefunden, dass dieses Plugin eine schwere Sicherheitslücke extra eingebaut hat womit Fremde Leute Zugriff auf eure WordPress Installation bekommen.

Solltet ihr also das Plugin: Custom Content Type Manager installiert haben, dann werft es so schnell wie möglich weg.

Spannend ist, das Plugin war ein sehr erfolgreiches Projekt das aber von den Entwicklern nicht weiter betreut wurde. Jemand hat sich dann den Zugang zum Plugin verschafft und darin mehrere Zusätzliche Files hinzugefügt, die eben diese Hintertürchen darstellen und das Plugin dann aktualisiert.

Ja, vor wenigen Stunden hat man zwar das Plugin auf die letzte saubere Version zurückgesetzt, aber ich rate wirklich allen von diesem Plugin ab. Wen dieses Plugin 1x auf kriminelle Art und Weise verändert werden konnte, kann es auch ein weiteres mal passieren.

Über

Eric-Oliver Mächler

Seit 2005 bin ich ein aktiver Blogger. Ich kenne die Kniffe und die Tricks um einen Blog erfolgreich zu machen. Hier gebe ich diese kleinen Tricks gerne weiter und freue mich, wenn ich euch helfen kann. Hier erfährt man mehr über mich.

Hinterlass einen Kommentar